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(54) Carte a memoire rechargeable, procedd de securisation et terminal d'utilisation. 

feT) L'invention concerne un procede de securisation d'un 
cSfte a nnemoire passive (40) comprenant au moins une 
zone (31-34) de memoire effapable ferment compteur 
d'unites de credit et au moins une zone (35) de memoire 
non effa9able fonmant compteur de rechargements, dans 
lequel on compare a chaque utilisation de la carte un certi- 
ficat inscrit sur la carte k un certificat calculi a partir de 
donnees inscrites sur la carte. A cet effet, il comprend les 
etapes (54) consistant, au moins lors de certains recharge- 
ments de la carte, k recalculer ledit certificat en fonction 
des donnees de ladite zone de memoire non effapable mo- 
drfi^es lors desdits rechargements, et ci inscrire le certificat 
ainsi calcule dans une partie pred§termin6e (C0-C3) de la 
zone de memoire effapable. 
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La presente invention concerne une carte a memoire passive 
ainsi qu'un terminal pour son utilisation et un procede 
pemettant de la securiser. 

On connalt divers types de cartes a memoire plus ou moins 
complexes. Les plus simples fonctionnent en ecriture 
seulement, sans protection. A 1' autre extremite, on trouve 
les cartes a micro-processeur permettant d'utiliser des 
algorithmes de securisation complexes mais qui presentent 
1 ' inconvenient d ' etre d ' un pr ix de revient relativement 
eleve. 

Entre ces deux types de cartes a memoire, se trouvent les 
cartes a logique cablee susceptibles d'etre rechargees. Ces 
cartes presentent I'avantage d'etre rechargeable ce qui 
leur confere une longue duree d' utilisation pour une 
capacite de memoire relativement limitee, et par consequent 
pour un faible cout. 

De fa<?on connu, la memoire de ces cartes rechargeables est 
generalement organisee de la maniere suivante. 

Une premiere partie de la memoire est accessible uniquement 
en lecture et contient des donnees d' identification comme 
par exemple le numero de serie de la carte. 

L' autre partie de la memoire est affectee au credit 
disponible, par exemple a un certain nombre d' unites de 
taxation telephonique. Cette partie comporte elle-meme une 
zone effa9able et une zone non effa9able. L'utilisation du 
credit inscrit en zone effa^able correspond a un chargement 
de la carte. Lorsque ce credit est epuise, on peut recourir 
a un nouveau chargement de la carte, 1 ' inscription de ce 
rechargement etant porte dans la zone non effagable, tandis 



2685520 



- 2 - 

que la zone effagable est effacee, Bien entendu, 
I'ef facement de la zone eff arable ne peut se produire 
qu'apres inscription du rechargement correspondant dans la 
zone non eff arable, 

5 

Lorsque toute la zone non eff arable a ete inscrite, il est 
par consequent devenu impossible de proceder a un nouveau 
rechargement de la carte qui est devenue hors d' usage • 

10 Typiquement, la deuxieme partie de la carte est organisee 
sous forme de compteurs en cascade, la logique etant cablee 
de telle, sorte que le contenu d'un compteur ne peut etre 
efface qu'apres une inscription dans le compteur de poids 
immediatement superieur^ On comprend dans ces conditions 

15 que tous les compteurs a 1' exception de celui de poids le 
plus fort sont eff arables, ce dernier etant pour sa part 
non effagable. 

II est egalement connu dans le but de securiser un tel type 
20 de carte, de calculer a chacune de ses utilisations, un 
certificat fonction de ses donnees d' identification et de 
le comparer a un certificat inscrit dans la partie de la 
memoire accessible en lecture seulement. En cas de 
discordance entre ces deux certificats, la carte est 
25 rejetee. Un tel precede de securisation pennet d'eviter 
1 'utilisation du certificat d'une carte pour en recharger 
une autre. 

Un tel precede presente toutefois 1 ' inconvenient d'utiliser 
30 un certificat unique tout au long de la duree de vie de la 
carte. 

La presente invention vise notamment a fournir un nouveau 
precede de securisation dans lequel le certificat evolue de 
35 fagon irreversible durant toute la duree de vie de la 
carte . 
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A cet effet 1' invention a tout d'abord pour objet un 
precede de securisation d'une carte k meinoire passive 
comprenant au moins une zone de memoire effagable formant 
compteur d' unites de credit et au moins une zone de memoire 

5 non effagable formant compteur de rechargements , dans 
lequel on compare a chaque utilisation de la carte un 
certificat inscrit sur la carte a un certificat calcule a 
partir de donnees inscrites sur la carte, caracterise par 
le fait qu'il comprend les etapes consistant au moins lors 

10 de certains rechargements de la carte, a recalculer ledit 
certificat en fonction des donnees de ladite zone de 
memoire non effagable modifiees lors desdits rechargements, 
et a inscrire le certificat ainsi calcule dans une partie 
predeterminee de la zone de memoire effagable, 

15 

Ainsi, au moins lors de certains rechargements de la carte 
le certificat est modifie. Du fait que le calcul du nouveau 
certificat prend en compte au moins certaines donnees 
contenues dans le compteur de r echargement , ce certificat 
20 varie de maniere irreversible puisque, comme on I'a vu ci- 
dessus, le compteur de rechargement n'est pas effa9able et 
varie de maniere irreversible. 

La presente invention a egalement pour objet un terminal 
25 d'utilisation de carte a memoire passive, pour carte 
comprenant au moins une zone de memoire effagable formant 
compteur d' unites de credit et au moins une zone de memoire 
non eff arable formant compteur de rechargements, ledit 
terminal comprenant des moyens pour calculer un certificat 
3 0 a partir de donnees inscrites sur la carte et comparer ce 
certificat a un certificat inscrit sur la carte, 
caracterise par le fait que lesdits moyens sont agences 
pour calculer ledit certificat en fonction aii moins de 
donnees contenues dans la zone de memoire non effagable, et 
35 pour reinscrire, au moins lors de certaines utilisations. 
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un nouveau certificat ainsi calcule dans une partie 
predetenninee de la zone de memoire eff arable. 

La presents invention a egalement pour objet une carte a 
memoire comprenant au moins une zone de memoire effa^able 
formant compteur d 'unites de credit et au moins une zone de 
memoire non effagable formant compteur de rechargements 
caracterise par le fait qu'une partie de la zone de memoire 
effagable est agencee pour recevoir un certificat fonction 
des donnees inscrites dans la zone de memoire non 
effagable. 

Dans le cas ou la zone de memoire effagable est organisee 
sous la forme d'une plural ite de compteurs en cascade, 
chaque compteur ne pouvant etre effage qu'apres qu'une 
inscription ait eue lieu sur le compteur de poids 
immediatement super ieur, ladite partie recevant le 
certificat peut-etre repartie sur les differents compteurs 
ou au contraire etre formee soit du compteur de poids le 
plus fort, soit du compteur de poids le plus faible. 

On decrira maintenant a titre d'exemple non limitatif, un 
mode de realisation particulier de 1' invention en reference 
aux dessins schematiques annexes dans lesquels : 

la figure 1 illustre les differents emplacements de memoire 
d'une carte selon 1' invention, 

la figure 2 represente un terminal d' utilisation de cette 
carte et, 

la figure 3 est un organigramme illustrant le precede selon 
1' invention. 
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La memoire 1 de la carte selon 1' invention comporte tout 
d'abord une premiere partie 2 d' identification accessible 
uniquement en lecture ,coinportant par exemple des donnees 
propres au circuit integre utilise et un numero de serie de 



Le restant de la memoire est organisee sous la forme de 5 
compteurs a 8 bits 31 a 35 disposes en cascade. Les quatres 
premiers compteurs 31 a 34 sont du type EEPROM done 

10 eff arable, tandis que le dernier compteur 35 est du type 
PROM done non effagable. La logique cablee de la carte est 
telle qu'un compteur quelconque ne peut etre efface 
qu'apres une ecriture sur le compteur de poids 
immediatement superieur. Le compteur 3 5 ne peut par 

15 consequent pas etre efface. 

Les compteurs 31 a 34 sont en outre divises en une zone 
debit Di et une zone de certificat Ci. Seules les zones de 
debit Di sont utilisees pour determiner le credit contenu 
20 sur la carte. 

Lorsque, par exemple, les zones DI et D2 ont ete 
entierement ecrites, un bit est inscrit dans la zone D3 , ce 
qui permet d'effacer la zone D2 puis, par ecriture d'un bit 

25 de la zone D2, d'ef facer ensuite la zone DI- Lorsque toutes 
les zones DI a D4 sont inscrites, il est alors necessaire 
de recharger la carte, operation au cours de laqpielle un 
bit est inscrit dans le compteur de rechargement 35 ce qui 
permet d'ef facer successivement D4 , D3 , D2 puis DI. Par 

3 0 contre lorsque le compteur 3 5 a ete entierement ecrit, il 
n'est plus possible de le modifier ni, par voie de 
consequence, de modifier les compteurs 31 a 34 de sorte que 
la carte doit etre jetee. 

35 Comme montre a la figure 2, la carte 40 comportant la 
memoire 1 est placee en utilisation dans un lecteur 41 
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relie a un micro-processeur 4 2 programme de maniere a 
mettre en oeuvre un programme dont 1 'organigramme est 
represents a la figure 3, 

La premiere operation consiste a lire en 50 les donnees 
inscrites dans la memoire 1. 

Prealablement a 1 'utilisation de la carte le micro- 
processeur calcule et verifie le certificat en 51. 

A cet effet, le micro-processeur calcule : 

certificat = f (di, D2 , D3 , D4 , rechargement , 
identification) 

ou f est une fonction predeterminee, 

Ce certificat est alors compare au certificat inscrit sur 
la carte a savoir : 

CO, CI, C2, C3 

En cas d'egalite de ces deux certificats, la carte peut 
etre utilisee en 52. 

On remarquera qu'avec une fonction f telle que precitee, le 
certificat peut varier a chaque unite consoxnmee puisqu'il 
depend de Dl. Une autre fonction peut bien entendu etre 
choisie. 

C'est ainsi que si le certificat ne depend pas de Dl, il ne 
changera que toutes les Nl unites consommees, ou Ni et le 
nombre de bits contenues dans la zone Di. De meme, si le 
certificat ne depend ni de Dl, ni de D2 , il ne variera que 
toutes les Nl x N2 unites consommees et ainsi de suite. 
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Enfin si le certificat ne depend que du compteur de 
rechargement 35, alors il ne sera reactualise qu'a chaque 
rechargement de la carte, 

. 5 Apres utilisation de la carte, le micro-processeur 
determine en 53 conmie cela vient d'^etre decrit ci-dessus si 
un nouveau certificat doit etre calcule. 

Dans ce cas, le micro-processeur calcule en 54 ce nouveau 
10 certificat et I'inscrit dans les zones CO a C3 de la 
memoire. 

Bien entendu, 1 ' inscription d'un nouveau certificat peut 
etre realisee par un terminal specif iquement dedie a la 
15 fonction de rechargement. 

Le certificat etant dans tous les cas fonction du contenu 
du compteur de rechargement 35, contenu variant de fa?on 
irreversible du fait du caractere non effagable de ce 
20 compteur, le certificat variera lui-meme de fagon 
irreversible au cours de la duree de vie de la carte. 

On a prevu ci-dessus de repartir les zones CO a C3 
reservees au certificat sur les quatres compteurs 31 a 34. 

25 

D'autres possibilites sont bien entendues envisageables . 

C'est ainsi que le compteur 31 de poids le plus faible peut 
etre reserve a 1 ' inscription du certificat. Dans ce cas, le 
3 0 certificat est efface a chaque debit d'une unite et peut 
etre reinscrit avec une valeur differente. 

Si par centre, le compteur 34 de poids le plus fort est 
reserve .au certificat, alors il ne peut etre modifie qu'au 
35 rechargement puisque le compteur 34 n'est effagable et done 
modifiable qu' apres une modification du compteur 35. 
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RE VENDI C AT I ONS 

1- Precede de securisation d'un carte a memoire passive 
(40) comprenant au moins une zone (31-34) de memoire 

5 eff arable formant compteur. d' unites de credit et au moins 
une zone (35) de memoire non eff arable formant compteur de 
rechargements , dans lequel on compare a chaque utilisation 
de la carte un certificat inscrit sur la carte a un 
certificat calcule a partir de donnees inscrites sur la 

10 carte, caracterise par le fait qu'il comprend les etapes 
(54) consistant, au moins lors de certains rechargements de 
la carte, a recalculer ledit certificat en fonction des 
donnees de ladite zone de memoire non effa9able modifiees 
lors desdits rechargements, et a inscrire le certificat 
15 ainsi calcule dans une partie predeterminee (C0-C3) de la 
zone de memoire eff arable. 

2. Terminal d'utilisation de carte a memoire passive, pour 
carte comprenant au moins une zone de memoire effagable 

2 0 formant compteur d'unites de credit et au moins une zone de 

memoire non effagable formant compteur de rechargements, 
ledit terminal comprenant des moyens (42) pour calculer un 
certificat a partir de donnees inscrites sur la carte et 
comparer ce certificat a un certificat inscrit sur la 
25 carte, caracterise par le fait que lesdits moyens sont 
agences pour calculer ledit certificat en fonction au moins 
de donnees contenues dans la zone de memoire non effagable, 
et pour reinscrire, au moins lors de certaines 
utilisations, un nouveau certificat ainsi calcule dans une 

3 0 partie predeterminee de la zone de memoire eff arable. 

3 . Carte a memoire comprenant au moins une zone de memoire 
effagable formant compteur d' unites de credit et au moins 
une zone de memoire non effagable formant compteur de 
35 rechargements, caracterisee par le fait qu'une partie de la 
zone de memoire effagable est agencee pour recevoir un 




- 9 - 



certificat fonction des donnees inscrites dans la zone de 
memoire non effaqrable. 

4. Carte a memoire selon la revendication 3, dans laquelle 
5 la zone de memoire effa?able est organisee sous la forme 

d'une plural ite de compteurs en cascade^ chaque compteur ne 
pouvant etre efface qu'apres qu'une inscription ait eu lieu 
sur le compteur de poids immediatement superieur, ladite 
partie recevant le certificat etant repartie sur les 
10 differents compteurs. 

5. Carte a memoire selon la revendication 3, dans laquelle 
la zone de memoire effagable est organisee sous la forme 
d'une plural ite de compteurs en cascade, chaque compteur ne 

15 pouvant etre efface qu'apres qu'une inscription ait eu lieu 
sur le compteur de poids immediatement superieur, ladite 
partie recevant le certificat etant formee du compteur de 
poids le plus fort. 

20 6. Carte a memoire selon la revendication 3, dans laquelle 
la zone de memoire effa^able est organisee sous la forme 
d'une plural ite de compteurs en cascade, chaque compteur ne 
pouvant etre efface qu'apres qu'une inscription ait eu lieu 
sur le compteur de poids immediatement superieur, ladite 

25 partie recevant le certificat etant formee du compteur de 
poids le plus faible. 
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